Atacantes podrían acceder y modificar recursos de agentes, colas telefónicas y otros sistemas de atención al cliente - y acceder a información personal de los clientes de las empresas.
Un fallo de seguridad crítico que afecta a la cartera de Unified Contact Center Enterprise (UCCE) de Cisco podría permitir la escalada de privilegios y la toma de posesión de la plataforma.
Cisco UCCE es una plataforma local de atención al cliente capaz de soportar hasta 24.000 agentes de atención al cliente utilizando canales que incluyen voz entrante, voz saliente, respuesta de voz interactiva saliente (IVR) y canales digitales. También ofrece un bucle de retroalimentación a través de IVR posterior a la llamada, correo electrónico y encuestas de interceptación en la web; y varias opciones de informes para recopilar información sobre el rendimiento de los agentes para utilizarla en el establecimiento de métricas e informar a la inteligencia empresarial.
Según el sitio web del producto, entre sus usuarios se encuentran algunos de los más importantes, como T-Mobile USA.
El fallo en cuestión (CVE-2022-20658) es especialmente grave, con una calificación crítica de 9,6 sobre 10 en la escala de gravedad de la vulnerabilidad de CVSS, y podría permitir a atacantes remotos autentificados elevar sus privilegios a la categoría de administrador, con la posibilidad de crear otras cuentas de administrador.
Existe específicamente en la interfaz de gestión basada en la web de Cisco Unified Contact Center Management Portal (Unified CCMP) y Cisco Unified Contact Center Domain Manager (Unified CCDM) y se deriva del hecho de que el servidor se basa en mecanismos de autenticación manejados por el lado del cliente. Esto abre la puerta a que un atacante modifique el comportamiento del lado del cliente para eludir los mecanismos de protección.
El CCMP es una herramienta de gestión que ofrece a los supervisores del centro de contacto la posibilidad de mover, añadir y cambiar agentes que trabajan en diferentes áreas del centro de contacto entre diferentes colas de llamadas, marcas, líneas de productos y más. El CCDM es un conjunto de componentes de servidor (PDF) para la gestión del back-end, que incluye la autenticación y otras funciones de seguridad, la asignación de recursos y una base de datos que contiene información sobre todos los recursos (como los agentes y los números marcados) y las acciones realizadas (como las llamadas telefónicas y los cambios de estado de los agentes) dentro del sistema.
Armados con cuentas de administrador adicionales, los atacantes podrían acceder y modificar los recursos de telefonía y de los usuarios en todas las plataformas asociadas al vulnerable Cisco Unified CCMP, advirtió Cisco. Se pueden extrapolar los estragos operativos y de identidad de marca que un atacante podría causar al paralizar los sistemas de atención al cliente de una gran empresa, por no hablar del daño que podría hacer con el acceso al caudal de información personal que el sistema debe albergar sobre los clientes de la empresa, incluidas las comunicaciones telefónicas y de correo electrónico.
Tampoco es difícil de explotar: "Esta vulnerabilidad se debe a la falta de validación en el lado del servidor de los permisos de los usuarios", explicó Cisco en un aviso esta semana. "Un atacante podría explotar esta vulnerabilidad enviando una petición HTTP manipulada a un sistema vulnerable".
Sin embargo, para explotar con éxito la vulnerabilidad, los atacantes necesitarían credenciales válidas de "Usuario avanzado", por lo que el fallo tendría que encadenarse con otro para el acceso inicial.
Hay parches disponibles para este problema, aunque no hay soluciones. La información de los parches es la siguiente:
- Versiones 11.6.1 y anteriores: La versión corregida es la 11.6.1 ES17
- Versión 12.0.1: La versión corregida es la 12.0.1 ES5
- Versión 12.5.1: La versión fija es la 12.5.1 ES5
- Versión 12.6.1: No está afectada
Según el gigante de las redes, hasta ahora no se conoce ningún exploit público.
Las soluciones de contact-center de Cisco ya se han enfrentado a fallos críticos con anterioridad. Por ejemplo, en 2020 se descubrió un fallo crítico en su plataforma de "centro de contacto in-a-box", Unified Contact Center Express, que permitía la ejecución remota de código.
Fuente: https://threatpost.com/critical-cisco-contact-center-bug/177681/